Zwei Schwächen?

Computer: Software & Programmierung UNIX & Linux
#1

Hallo, hier mal zwei Dinge, die mich an Linux stören bzw. die ich unter Windows besser finde, vielleicht aber auch nur schlecht informiert bin.

  1. Firewall. iptables ist ja ganz nett, aber ich habe bisher keine möglichkeit gefunden regeln an applikationen zu binden (ansich erscheitn mir das logisch, weil iptables eine kernelfunktionalität ist), aber in diversen windowsprodukten kann man nicht nur protokoll, ports etc. freigeben sondern auch noch sagen für welche anwendung es gilt. ich will einen port ja nicht unbedingt komplett aufmachen, sondern nur wenn die anwendung soundso ihn braucht. gibts da was unter linux?

  2. Dateisystem. gibt es irgendwelche bestrebungen das rwxrwxrwx System (wie das auch immer offiziell heisst) zu verlassen? ich sag nur NTFS. Wenn ich halt eine Datei nur einem user und nicht einer gruppe zur verfügung stellen will etc. ich find da das rwx Konzept sehr schwach, gibt es da schon neue Dateisysteme oder sowas?

#2

Hallo,

  1. Firewall. iptables ist ja ganz nett, aber ich habe bisher

  2. Dateisystem. gibt es irgendwelche bestrebungen das
    rwxrwxrwx System (wie das auch immer offiziell heisst) zu
    verlassen? ich sag nur NTFS. Wenn ich halt eine Datei nur
    einem user und nicht einer gruppe zur verfügung stellen will
    etc. ich find da das rwx Konzept sehr schwach, gibt es da
    schon neue Dateisysteme oder sowas?

Häh?
„rwxrwxrwx“ ist kein Dateisystem.
ext2,ext3,reiserfs etc. sind Dateisysteme.
Außerdem ist das genaue Gegenteil der Fall.

man chown

man chmod

Gruß
Andreas

Gruß
Andreas

#3

Hallo, hier mal zwei Dinge, die mich an Linux stören bzw. die
ich unter Windows besser finde, vielleicht aber auch nur
schlecht informiert bin.

  1. Firewall. iptables ist ja ganz nett, aber ich habe bisher
    keine möglichkeit gefunden regeln an applikationen zu binden
    (ansich erscheitn mir das logisch, weil iptables eine
    kernelfunktionalität ist), aber in diversen windowsprodukten
    kann man nicht nur protokoll, ports etc. freigeben sondern
    auch noch sagen für welche anwendung es gilt. ich will einen
    port ja nicht unbedingt komplett aufmachen, sondern nur wenn
    die anwendung soundso ihn braucht. gibts da was unter linux?

Du musst hier stark unterscheiden zwischen den Konzepten von Personal Firewalls und „echten“ Firewalls.

IPtables, IPfilter & Co. sind eigentlich nicht dafür konzipiert worden, den Rechner zu schützen, auf dem sie selbst laufen, sondern ein Netzwerk, an dessen Grenze sie sitzen. Daher ist eine Unterscheidung nach Applikationen nicht möglich und auch nicht sinnvoll.

Eine Personal Firewall auf Unixen ist imho absolut überflüssig.
Mir fällt zumindest kein Szenario ein, in dem sie einen Sinn machen würde (unter Windows übrigens auch nur extrem wenige).

[Werbung] Wenn Dich das Thema Firewalling näher interessiert, schau Dir doch mal dieses Dokument an: http://www.computec.ch/dokumente/firewalling/firewal… Das ist eine Einführung in Firewallsysteme, die ich im Rahmen eines Workshops für Azubis der neuen IT-Berufe geschrieben habe. Vielleicht ganz interessant.

  1. Dateisystem. gibt es irgendwelche bestrebungen das
    rwxrwxrwx System (wie das auch immer offiziell heisst) zu
    verlassen? ich sag nur NTFS. Wenn ich halt eine Datei nur
    einem user und nicht einer gruppe zur verfügung stellen will
    etc. ich find da das rwx Konzept sehr schwach, gibt es da
    schon neue Dateisysteme oder sowas?

Dann ist Dir das Konzept glaube ich noch nicht ganz klar. Oder ich hab deine Frage falsch verstanden. Die „rwx“ tauchen dreimal auf: [owner][group][anybody] Damit kann man eigentlich alles wunderschön machen, und unter NTFS ist es nicht wirklich anders, bloß daß man das Gruppenkonzept nicht konsequent durchzieht.

chmod 0700 _[file]_
chown _owner file_

und fertig. Was möchtest Du noch tun? Das funktioniert halt bloß nicht mit Häkchen, sondern mit Textbefehlen, was aber schon bei geringer Beschäftigiung mit dem System echt schneller ist.

Gruß,

Doc.

und fertig.

#4

Hi Bruno,

zu den Firewall-Regeln kann ich leider nichts sagen. Aber hierzu:

  1. Dateisystem. gibt es irgendwelche bestrebungen das
    rwxrwxrwx System (wie das auch immer offiziell heisst) zu
    verlassen? ich sag nur NTFS. Wenn ich halt eine Datei nur
    einem user und nicht einer gruppe zur verfügung stellen will
    etc. ich find da das rwx Konzept sehr schwach, gibt es da
    schon neue Dateisysteme oder sowas?

Es gibt ACL (Access Control Lists) für einige UNIX-Filesysteme, auch ext2. Aber ich mag das nicht, weil dadurch die Rechtevergabe (wie auch bei NTFS und Novell) oft so komplex wird, dass man Fehler macht und sich riesige Sicherheitslücken schafft. Vieles kann man mit geschickt geschachtelten Directories und mehrfacher Gruppenzugehörigkeit auch mit den alten UNIX-Rechten lösen.

Alles Gute wünscht
…Michael

#5

nähere Erläuterung bitte
Hallo Bruno,

hier mal zwei Dinge, die mich an Linux stören bzw. die
ich unter Windows besser finde, vielleicht aber auch nur
schlecht informiert bin.

  1. Dateisystem. gibt es irgendwelche bestrebungen das
    rwxrwxrwx System (wie das auch immer offiziell heisst) zu
    verlassen? ich sag nur NTFS. Wenn ich halt eine Datei nur
    einem user und nicht einer gruppe zur verfügung stellen will
    etc. ich find da das rwx Konzept sehr schwach, gibt es da
    schon neue Dateisysteme oder sowas?

Erklär mir mal bitte, was für dich der Unterschied von NTFS und ext2/ext3* in Bezug auf Dateirechte ist.
Dieses rwxrwxrwx löst sich ganz einfach auf:

  1. Triple Allgemeinheit
  2. Triple Gruppe
  3. Triple Nutzer jeweils read,write,execute
    Durch die Zuordnung der Nutzer zu Gruppen kann und gleichzeitig der Datei zu Gruppen kann man die Zugriffsrecht steuern.
    Bei NT geht es schön mit Mausklick, unter Linux per Kommandozeile, halbgrafisch im MC und sicher findet sich auf der SuSE-CD/in sourceforge auch ein KDE-Programm zu diesem Zwecke.

Tschuess Marco.

*ext2/ext3 sind die verbreitesten und zum produktiven Dateisysteme unter linux
Reiserfs ist meines Wissens noch nicht für den produktiven Einsatz empfohlen. (Stand Anfang 2002)

#6

Du musst hier stark unterscheiden zwischen den Konzepten von
Personal Firewalls und „echten“ Firewalls.
IPtables, IPfilter & Co. sind eigentlich nicht dafür
konzipiert worden, den Rechner zu schützen, auf dem sie selbst
laufen, sondern ein Netzwerk, an dessen Grenze sie sitzen.

OK da hast du Recht… das habe ich so nicht berücksichtigt. Die Angabe einer Applikation bringt natürlich nichts wenn die gar nicht auf dem Firewallrechner läuft.

#7

„rwxrwxrwx“ ist kein Dateisystem.
ext2,ext3,reiserfs etc. sind Dateisysteme.

Das ist mir schon klar, aber bei den Berechtigungen arbeiten diese alle gleich oder?

Außerdem ist das genaue Gegenteil der Fall.

Gegenteil? versteh ich nicht :wink:

#8

Erklär mir mal bitte, was für dich der Unterschied von NTFS
und ext2/ext3* in Bezug auf Dateirechte ist.
Dieses rwxrwxrwx löst sich ganz einfach auf:

  1. Triple Allgemeinheit
  2. Triple Gruppe
  3. Triple Nutzer jeweils read,write,execute

das ist mir bekannt

Durch die Zuordnung der Nutzer zu Gruppen kann und
gleichzeitig der Datei zu Gruppen kann man die Zugriffsrecht
steuern.
Bei NT geht es schön mit Mausklick, unter Linux per
Kommandozeile, halbgrafisch im MC und sicher findet sich auf
der SuSE-CD/in sourceforge auch ein KDE-Programm zu diesem
Zwecke.

Ich hab es vielleicht falsch ausgedrückt, ich wollte nicht rwx mit den NTFS Berechtigungen vergleichen wie „lesen“, „vollzugriff“ und sowas, sondern meinte wie in der einen Antwort beschrieben Access Control Lists.

ich find das sehr praktisch wenn ich sagen kann meine Datei xyz dürfen die Nutzer x, y, z sowie die Gruppen a, b, c lesen, aber nur d, e und f auch schreiben oder so. Eben totale Flexibilität, wer welche Berechtigungen hat, das kann man mit dem User, Group, Other Konzept meines Erachtens überahutp nicth nachbilden.

Die frage zielte also eher darauf ab ob es sowas wie ACLs in Linux Dateisystemen gibt.

#9

Es gibt ACL (Access Control Lists) für einige
UNIX-Filesysteme, auch ext2.

Ahja genau das wollte ich wissen. Hast du einen Link zu Infos darüber?

Aber ich mag das nicht, weil
dadurch die Rechtevergabe (wie auch bei NTFS und Novell) oft
so komplex wird, dass man Fehler macht und sich riesige
Sicherheitslücken schafft.

Das kann gut sein, bin nicht so viel mit Systemadministration beschäftigt, aber es hat mich schon öfters gestört, da ich aus der Firma die NTFS ACLs gewohnt bin und wenn ich mal auf einem Linuxsystem einem bestimmten User schnell eine Leseberechtigung für eine Datei geben wollte hat man schon ein problem. Es ist nunmal nicht so dass sich die Gruppenzugehörigkeit unbedingt mit der Berechtigung deckt.

#10

„rwxrwxrwx“ ist kein Dateisystem.
ext2,ext3,reiserfs etc. sind Dateisysteme.

Das ist mir schon klar, aber bei den Berechtigungen arbeiten
diese alle gleich oder?

Ja.

Sebastian

eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeee

#11

Es gibt ACL (Access Control Lists) für einige
UNIX-Filesysteme, auch ext2.

Ahja genau das wollte ich wissen. Hast du einen Link zu Infos
darüber?

http://acl.bestbits.at/
http://trustees.sourceforge.net/
Und vor allem: http://www.linuxgazette.com/issue57/tag/7.html

Aber ich mag das nicht, weil
dadurch die Rechtevergabe (wie auch bei NTFS und Novell) oft
so komplex wird, dass man Fehler macht und sich riesige
Sicherheitslücken schafft.

Das kann gut sein, bin nicht so viel mit Systemadministration
beschäftigt,

Um so gefährlicher…

Sebastian

#12

Dieses rwxrwxrwx löst sich ganz einfach auf:

  1. Triple Allgemeinheit
  2. Triple Gruppe
  3. Triple Nutzer jeweils read,write,execute

also falls man von rechts nach links liest, stimmt das sogar.
fuer europaeer gilt immer noch UGO (user, group, other).

joachim